究竟什么才算是Token，我一直没有找到比较好的定义，但是回过头来看一下它的翻译，才明白，原来名字就是定义了，Token就是令牌。 先看一下我们现实生活中的令牌。 为什么它是个令牌呢？因为六扇门可以验证其真实性，同时六扇门可以从中获取持有该令牌的人的身份。 可以被某个服务认证其…

最近开始做新项目，是一个toC项目，之前的登录接口是一个实习生写的，偶然间另一位同事看了看项目代码之后跟我说为了提高安全性，修改了登录接口。。。 背景 笔者在做的一个项目之前的登录接口是实习生写的，登

由于HTTP是一种无状态的协议，服务器单从网络连接上无从知道客户身份。怎么办呢？就给客户端们颁发一个通行证吧，每人一个，无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是。 cookie指的就是浏览器里面能永久存储的一种数据，仅仅是浏览器实现的一种数…

token存cookie还是localStorage，存哪个更安全、哪个能实现需求，下面就该问题展开讨论。 XSS、CSRF角度做分析；未来的完美方案SameParty。我们的做法。